Forum ATENA : « Traçabilité et monitoring »

 



Rédacteur : Mohamed Amin Sakka (Doctorant en thèse CIFRE Novapost/Samovar) –  23/02/2009
 


Une problématique majeure et transversale
L’ouverture des systèmes d’information des entreprises, la croissance continuelle des volumes d’informations échangés sur des réseaux pour la plupart publics et la multiplication des canaux de communication, placent les questions de traçabilité au cœur de l’actualité technologique et économique.
Conséquence directe de la mutation des enjeux et des systèmes, la gestion de la traçabilité des flux informationnels relève aujourd’hui du défi. Défi de premier ordre car devenu transversal en touchant des secteurs d’activités très hétérogènes (agro-alimentaire, logistique, télécommunications). Chaque utilisateur de NTIC (internet, téléphone portable, GPS…), dont le patrimoine privé est de plus en plus immatériel (conséquence de la dématérialisation grandissante des factures, courriers, photos, vidéos, etc.), est à présent concerné par ces questions majeures de sécurité et de confidentialité des données.
Fort de ces constatations, il semble légitime de tenter d’apporter des éléments de réponse aux questions suivantes: Qu’est-ce qu’une trace? Comment la conserver? Comment l’exploiter? Quelle est la valeur juridique d’une trace, comment la prouver ?

Un cahier des charges à rallonge pour les solutions à mettre en place


Un cadre légal strict et limitant
Georges de SOUQUAL, commandant de Police à la Direction Centrale de la Police Judiciaire travaillant au sein de l’OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication) souligne l’importance de la traçabilité dans les enquêtes juridiques en rappelant que la cybercriminalité présente des « spécificités liées à l’étendu du réseau Internet ». Les investigations visant à identifier l’auteur d’une infraction se basent (comme pour tous les autres types d’investigations) sur les « constatations et les traces ». Le recueil de ces traces doit être effectué en garantissant leur intégrité numérique.

Dans la réalité, ces enquêtes sont confrontées à des limites techniques : monopole de la détention de l’information technique par les opérateurs et les FAI, le caractère volatil des données, la capacité et variété des supports, et juridiques: principe de territorialité, droit international récent, la durée minimale de conservation des données relatives aux adresses IP qui est fixée à un an en France (pour chaque action réalisée sur Internet, le fournisseur d’accès ou l’hébergeur doit être capable de fournir les traces de cette activité, avec un historique minimal de douze mois). Afin de surmonter ces limites, il est important, rappelle Georges de SOUQUAL, de mettre l’accent sur la coopération internationale et la mise en place de mécanismes de prévention.

L’ambiguïté de la notion de trace et ses différentes approches  
Lazaro PEJSACHOWICZ, représentant de CLUSIF et responsable de la sécurité des systèmes de l’information de la CNAM TS (Caisse Nationale d’Assurance Maladie des Travailleurs Salariés) met l’accent sur les différentes définitions du mot « trace » (« log machine », « log des connexions », « éléments de preuve »…) dont le sens varie selon l’interlocuteur. Pour M. PEJSACHOWICZ, une trace peut être considérée comme étant simplement le constat d’une action.

Concernant leur utilisation, les traces peuvent servir pour la détection des anomalies de fonctionnement d’un système, l’analyse et/ou l’amélioration de l’utilisation du système, la détection d’une tentative d’usage prohibé du système, de preuve de bon fonctionnement du SI, de preuve d’imputabilité (attribuer à un acteur la réalisation d’une action sur une information).

Ainsi, dans une logique de sécurisation des systèmes d’information, les traces doivent fournir les informations nécessaires aux objectifs suivants: permettre de déterminer la suite des événements ayant produit une violation de la politiqué de sécurité, permettre d’attribuer une action à un « acteur », prouver le bon fonctionnement du SI dans les cas de contestation de la part des utilisateurs ou autorités, permettre la corrélation avec d’autres informations sur une pluralité des systèmes et permettre l’accès aux demandes d’information des autorités judiciaires.
Pour améliorer la sécurité de son SI, il est très important de définir ses besoins en matière de traçabilité. M. PEJSACHOWICZ propose à cet effet d’utiliser des « techniques intelligentes pour la création et le stockage de traces », comme par exemple l’écriture des logs sur un serveur tiers dont les droits d’accès sont différents, ce qui permet d’éviter qu’une personne « habilitée » puisse les modifier pour dissimuler une action frauduleuse. L’utilisation de SSO permettrait dans cette logique d’assurer une identification unique pour toutes les applications.

De l’importance de trouver rapidement des moyens efficaces pour épauler la justice
Le Lieutenant-colonel Éric FREYSSINET (Direction générale de la gendarmerie nationale sous-direction de la police judiciaire) présente d’une manière pragmatique la préservation et la collecte des traces informatiques dans le cadre d’une enquête judiciaire. Il détaille la  réglementation française et européenne pour la conservation des données numériques : selon la directive européenne 2006/24/CE, cette durée varie entre 6 mois et 24 mois et elle est fixée à un an en France. M. FREYSSINET illustre en particulier l’importance de créer les conditions de traçabilité dans le monde numérique tout en « préservant la vie privée et le droit à l’oubli », rappelant aussi le besoin de « s’astreindre au strict minimum » pour réduire les coûts des enquêtes et réduire aussi l’impact sur la vie privée. Le Lieutenant FREYSSINET exprime en conclusion le besoin premier de mieux sécuriser  les systèmes d’information et de mieux utiliser les traces afin d’améliorer la qualité des investigations.

L’aspect législatif de la traçabilité et de la cybersurveillance
Dernier intervenant du forum quant à la description de l’état de l’art de la traçabilité, Olivier ITEANU, avocat au barreau de Paris, appuie une nouvelle fois sur la corrélation entre l’ouverture des systèmes d’information de l’entreprise vers les services les plus populaires (surtout Internet, courriels et web) et l’émergence de nouveaux risques juridiques pour l’entreprise et ses dirigeants. Rappelant le cadre légal régissant les pratiques de conservation des traces et de la cyber-surveillance, M. ITEANU insiste sur le fait qu’une trace peut être une preuve admissible devant un tribunal si elle remplit les conditions légales de conservation garantissant son imputabilité et son intégrité. En France, la loi oblige en particulier les FAI et les hébergeurs de conserver légalement pendant un an les traces de connexion, matériau de base des enquêtes judiciaires. M. ITEANU met en avant les limites de la cyber-surveillance intra-entreprise, l’accès au contenu des documents personnels et aux courriers électroniques des employés restant pour l’heure interdits en par la loi française.

L’émergence de systèmes « anti-traces »
Autre tendance mise en exergue par Mauro ISRAEL, Responsable Sécurité des Systèmes d’Information : l’anonymisation de la navigation sur Internet. Citant le site russe anonymizer.ru et le réseau Tor permettant tous deux de « cacher » ses traces de navigation sur Internet (adresse IP, contenu des requêtes…). Ces techniques d’anonymat sont à la fois simples et efficaces. Elles permettent à un internaute de visiter des sites censurés et d’être à l’abri de la traçabilité des autorités. Voilà donc un autre enjeu pour les solutions de traçabilité : parer l’utilisation de tels outils par des mains mal intentionnées.

Perspectives

Des projets à nécessairement à l’échelle européenne  
Devant  les limites qu’affrontent aujourd’hui les enquêtes judiciaires, des projets de plate-formes gérant la collecte des informations nécessaires à la reconstitution de la trace des flux échangés sont en cours de structuration sur la scène européenne.

 

Retour à la page de garde de l’événement